Boletim de Notícias

[ 21/08/2019 ] CrowdStrike é LEADER no Magic Quadrant do Gartner 2019 Artigos
[ 26/07/2024 ] Ciberataques usando botnets são vendidos a US$ 100 na dark web Notícias
[ 26/07/2024 ] LGPD é desafio para profissionais de tecnologia Artigos
[ 25/07/2024 ] CrowdStrike está oferecendo um vale-presente UberEats de US$ 10 Notícias
[ 25/07/2024 ] Crowdstrike divulga revisão preliminar do problema Notícias
[ 25/07/2024 ] CrowdStrike explica por que a atualização não foi testada corretamente Notícias

26/07/2024

Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas

26/11/2020 mindsecblog LGPD & PRIVACY, Notícias 4

Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas. O vazamento de senhas de sistemas eletrônicos do Ministério da Saúde expôs os dados pessoais de 16 milhões de brasileiros que se submeteram a testes para covid-19.

Foram divulgados dados pessoais como CPF, endereço, telefone e doenças pré-existentes. As informações foram publicadas por diversos meios de comunicação nesta 5ª feira, 26 de novembro.

Entre as pessoas que tiveram os dados expostos estão os chefes do Executivo e do Legislativo, ministros do governo federal e 17 governadores. Eis algumas delas:

Jair Bolsonaro, presidente da República;
Eduardo Pazuello, ministro da Saúde;
Onyx Lorenzoni, ministro da Cidadania;
Damares Alves, ministra da Mulher, da Família e dos Direitos Humanos;
João Doria (PSDB), governador de São Paulo;
Rodrigo Maia (DEM-RJ), presidente da Câmara;
Davi Alcolumbre (DEM-AP), presidente do Senado.

Com essas senhas, era possível acessar os registros de covid-19 lançados em dois sistemas federais: o E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado, e o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave, ou seja, os pacientes mais graves.

Segundo as fontes de informações disponíveis, a exposição das informações não foi causada por ataque hacker, mas sim decorrente de uma ação de Wagner Santos, funcionário do Hospital Albert Einstein que tinha acesso liberado aos bancos de dados do Ministério da Saúde. A reportagem questionou a instituição o motivo de ela ter acesso aos dados pessoais e não apenas informações sem identificação e foi informada que o banco de dados não fica disponível para o Einstein e somente ao funcionário do hospital que ficava baseado no próprio Ministério da Saúde. Já o órgão federal confirmou a parceria e disse que realizou reunião com o Einstein para esclarecimento dos fatos. Disse que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados.

A exposição dos dados foi descoberta pelo Estadão após uma denúncia recebida pela reportagem com o link para a página onde as senhas dos sistemas estavam disponíveis.

Santos publicou em seu perfil pessoal da plataforma GitHub, em 28 de outubro, uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 no Brasil.

Os bancos de dados traziam, além das informações pessoais, detalhes sobre o histórico clínico dos pacientes. As pessoas que tiveram os dados vazados foram examinadas em unidades de saúde tanto da rede pública quanto da privada, pois a notificação de casos suspeitos ou confirmados de covid-19 é obrigatória a todas as unidades hospitalares.

Ao jornal O Estado de S.Paulo, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram trocadas nos sistemas e que uma investigação interna será aberta pelo hospital para apurar as responsabilidades.

O hospital afirmou que “1 colaborador teria arquivado informações de acesso a determinados sistemas sem a proteção adequada”. O hospital diz ter comunicado o Ministério da Saúde para que “fossem tomadas as medidas para assegurar a proteção das referidas informações”.

De acordo com o Ministério da Saúde, o Hospital Albert Einstein confirmou que houve falha humana, e não do sistema. O órgão disse que está realizando “o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados”.

O funcionário Wagner Santos disse que publicou a planilha de senhas em seu perfil na plataforma GitHub para a realização de teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.

Segundo o site ndmais, o Einstein afirmou ainda que todos os seus funcionários passam por treinamento de segurança digital e que “tomará as medidas administrativas cabíveis”. Questionado sobre o tipo de serviço que prestava para o ministério, o hospital informou que se trata de um projeto do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em que dados epidemiológicos eram usados para fazer análise preditiva da pandemia.

Banco de dados

Os bancos de dados do ministério trazem, além das informações pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.

Alguns registros de pacientes internados traziam até informações do prontuário, como quais medicamentos foram administrados durante a hospitalização. No registro de Pazuello, por exemplo, era possível saber em qual andar do Hospital das Forças Armadas ele ficou internado e qual profissional deu baixa em sua internação.

Tanto pacientes da rede pública quanto da privada tiveram seus dados expostos. Isso porque a notificação de casos suspeitos ou confirmados de Covid ao Ministério da Saúde é obrigatória a todos os hospitais.

Situação preocupante

Para o site ndmais, o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, diz que o vazamento das senhas e exposição dos dados que deveriam ser resguardados pelo poder público é preocupante. De acordo com o especialista, as informações podem ser usadas para fins comerciais por diferentes empresas. “Dados de saúde podem ser usados por empresas do ramo que queiram criar produtos específicos voltados para um público, por empresas de seguro de vida ou planos de saúde de forma indevida, muitas vezes até com aspecto discriminatório, pois você tem as informações sobre o histórico de saúde da pessoa”, diz.

O advogado diz que, considerando a Lei Geral de Proteção de Dados, é dever de quem controla e acessa os dados adotar medidas que evitem vazamentos. Nesse caso, tanto o Einstein e seu funcionário quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informações de milhões de pessoas. Mesmo quando não agem de forma proposital, responsáveis por vazamento de dados pessoais e sensíveis podem ser obrigados judicialmente a pagar indenizações por dano coletivo.

Fonte: O Estado de São Paulo & ndmais & Poder360

Patrocínio MindSec Segurança e Tecnologia da Informação

Veja também:

Sobre mindsecblog 2571 Artigos

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Deixe sua opinião!Cancelar resposta

@ MindSec Segurança e Tecnologia da Informação Ltda.